如果我将 esxi 加入到 Active Directory 域,它将如何选择向哪个 DC 进行身份验证?

如果我将 esxi 加入到 Active Directory 域,它将如何选择向哪个 DC 进行身份验证?

我熟悉 vSphere 和大型安装,但对免费产品则不太熟悉。

拓扑和配置

我们有一些分支机构使用 ESXi,并在其上驻留了一个 DC,作为虚拟化主机。这是他们可以访问的唯一本地 DC。

事情变得更加复杂,这些远程办公室是中心辐射配置中的“辐条”。辐条之间无法通信(由于缺乏路由),并且每个辐条都有一个 RODC。

问题

为了使管理更容易,我正在考虑将这些主机添加到我们的域中,但不确定我是否会失去“本地管理员”功能,或者当 DC 不可用时会发生什么。

话虽如此,我看到了一个配置 AD 域的条目。不清楚如何选择 DC,也不清楚容错功能如何工作(如果在 esxi 上工作的话)。

我正在寻找一个比我更聪明的人来帮助我思考在以下场景中将 esxi 连接到 AD 的含义:

  • ESXI 托管着一个作为 DC 的 VM,并且已挂起(1/100 DC 发生故障)
  • ESXI 无法访问集线器中的服务器(99/100 DC 出现故障)
  • 正常访问,其中辐条无法访问(80/100 无法访问,可能看似失败)

我认为这些场景很有趣,因为 ESXI 完全有可能获得 ADDomain.com 的每个 NS 的列表,这等于托管 LDAP 的每个域控制器。*

*脚注:我假设 ESXI 正在使用 LDAP.. 但我不确定

结论

我应该在此配置中将 esxi 连接到域吗?

如果没有可用的 DC,我会失去本地访问权限吗?

答案1

ESXi(就像任何其他系统一样)将总是当其他身份验证方法不可用时,允许本地身份验证(即本地root用户和您创建的任何本地用户帐户);如果您有本地凭据,您将始终能够登录到 ESXi 服务器,即使 vCenter、AD 或其他任何服务器不可用。

文档:

http://pubs.vmware.com/vsphere-51/index.jsp#com.vmware.vsphere.security.doc/GUID-D7AEC653-EBC8-4573-B990-D8E58742F8ED.html

答案2

我对 ESXi AD 集成(实际上 Likewise)的经验是它可能不稳定。对于小型、简单的拓扑,它可能没问题,但对于更复杂的分布式拓扑,它可能就不行了。对我来说,在每种情况下,当 ESXi 出现问题时,普通计算机都可以使用相同的连接或网络段顺利加入或验证 AD。

最好的办法是启用 Likewise 组件的日志记录功能,否则出现问题时您将无处可去。而且您无法通过 UI 执行此操作,请获取 CLI。

免责声明: 本文为 Enabling logs for Likewise 代理在 ESXi/ESX 上的日志记录 (1026554)
http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1026554

关于“如何”应该完全按照 Windows 客户端的操作进行操作,并遵循 DC Locator 流程。我怀疑它不是,或者在某种程度上有所偏离。

域控制器定位过程
http://technet.microsoft.com/en-us/library/cc978011.aspx

答案3

有关 ESX(i) AD 集成的注意事项:

我发现(在 ESXi 5.0 上)当将 ESXi 主机加入域(GUI)时,通过 Likewise 代理(在主机上)的进程会在加入时枚举受信任的域和域控制器,并在 /etc/likewise/krb5-affinity.conf 中使用每个子域/域和关联的 DC 填充文件。

该过程似乎只枚举该时间点的域。检查文件后我发现列出的 DC 从未自动更新,因为有许多旧的 DC IP 已停用或替换,但仍在该列表中。

相关内容